网络技术方案汇总十篇

时间：2023-03-08 14:50:39

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇网络技术方案范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

网络技术方案

篇（1）

随着计算机网络技术的飞速发展，社会对具备网络配置、网络管理能力的人才需求不断增加，作为培养技能型、应用型人才的普通高校，如何注重实践，培养学生网络配置能力已经成为网络教学的重中之重。要培养学生网络方面的动手能力，在网络实验室里对设备进行配置的优良教学方案无疑起着非常重要的作用。它不仅是理论教学的深化和补充，也在培养学生综合运用所学知识解决实际问题上起关键作用。

作为计算机网络课程的重要组成部分，网络设备的配置实训是计算机网络专业学生必须了解和掌握的内容。学生只有了解和掌握了计算机网络原理，掌握了网络互联与实现的配置技术，才能为今后的就业、学习、研究网络奠定基础。

1网络设备配置教学现状

1.1强调实践，忽视理论

网络技术是一门非常注重实践的课程，实验课程在教学中占很大比重，但由于种种原因，有的教师在授课中往往片面强调实验和动手的重要性，忽略理论作为技术研究与学习基础的事实，忽视理论知识对实践动手调试的前期指导、规划和分析作用[1]。这种学习方式使学生不能建立清晰的网络技术知识理论体系。

有的教师甚至将几个特殊案例的实践动手调试作为网络互联与实现配置教学，根本不对网络理论知识作相应阐述，教学中即使涉及必须要用到的网络技术原理内容，也只是偏重实验环境下的教学，这样做，最终导致理论与实践脱节。

1.2追求硬件高配置，忽视规划软指导

在开设网络技术课程时，过分追求高配置实验环境，投入过多资金建网络实验室，大量购进先进网络硬件设备，却忽视实验教师的网络规划、组织和管理方面的软指导，没有真正理解网络是研究计算机与计算机之间进行通信的学科，计算机的思维模式只能是遵循人的思维模式的真正含义。试想一下，如果没有指导教师的项目分析与规划，学生拿到实验后，仅靠直接动手调试，用几条简单的命令去解决一个网络技术问题，这样的思路如何能达到深层次学习网络的目的。

1.3重就业比率提高，轻就业形势分析

调查统计显示，大多数网络技术专业毕业生就业前景广泛，91%以上的网络技术专业学生能找到工作。但是，深入了解其从事的工作岗位后，我们发现他们中在网络技术岗位上从事局域网管理与维护、网站管理与维护、网站程序设计及开发等工作的人员不多，80%以上网络专业毕业的学生都是在从事计算机销售与售后技术支持、数据录入、办公文秘等工作，他们处于计算机技术人才链的低端，就业质量可想而知。[2]其原因在于高校学科体系培养模式的课程只是普通高校课程的简化，人才培养定位不准确，人才培养特征不明显，只注重单点知识的培养，忽视综合实用技能方面的培养，培养出来的毕业生综合应用能力差，不能胜任网络技术工作。

2网络设备配置教学方案改良思路

2.1对网络实验室硬件设备的建设改良

在进行网络实验室硬件建设时，应注意合理规划，不仅考虑满足建设需要，还要密切关注当前网络技术的发展态势，尽量采用先进的技术、现成的校园网平台和合理的资金去建设网络实验室，使建成后的实验室能使用高校原有的计算机作为网络调试终端，既能满足在本地实验室进行网络实验，也能通过校园网络远程登录后经认证进入对网络设备进行调试。[3]按此要求，每个网络实验室可以建成能同时满足42人至56人进行实验的网络平台，按需配备6至8组独立的实验平台，每组实验台至少配有2台2层交换机、2台3层交换机、2台路由器、1台防火墙、1台无线接入设备、1个VoIP语音模块和至少两个高速异步串口模块。达到每个实验台既可单独进行相关的实验，也可以配合其他平台进行实验，完成更为复杂的网络环境下的综合实验。

2.2对实验教材、实验方案配备的思路改良

每门网络课程的教学内容都应有专门的教材、方案，包括实验项目具体名称、实验详细内容、每次实验所需硬件设备、网络拓扑结构图、实验人员分工和实验详细规划、设计思路等。利用这些内容丰富的专业实验教材或资料手册，对每个实验的教学目的、实验真实环境、实验所需用到的设备、实验设备间如何连接、实验的具体操作步骤、实验结果及验证等内容进行实验的开展。也可将该门学科教师在长期的教学过程中积累下来的教学资料汇总成册、编录成书，按照其教授的实验内容、详细的实验方案来作为实验用书，让学生充分利用书中经过无数次实践的组网方案进行实验。

2.3对网络设备配置实训时间的安排布置改良

实训课程尽量与计算机网络理论课程同学期进行，这样便于理论指导实践。尽量不采取先计算机网络理论课，后计算机网络设备配置实训的教学方式，这样做的原因在于，如果学生对课堂上的知识掌握得很好，在实训课上，他们就会很快编写出实现步骤、调试命令，从而更有兴趣去学习下一节的课程。反之，如果学生在课堂上知识掌握得不好，实训课就会反映出来，这会促使他们回过头来重新拿起课本学习理论知识，实现理论与实践的第二次完美结合，它可以提高学生理解网络、调试网络的能力，最终锻炼学生独立分析、解决问题的能力。

2.4对高水平师资的培训力量、培养力度改良

我们应选用既有扎实的计算机网络基础理论知识又有较强实践动手调试能力的教师担任网络设备配置实训教师，以便学生得到充分的指导。因为，有计算机网络基础理论知识的教师可以帮助学生解决实践中遇到的理论问题，引导学生进行网络规划、网络分析，学生理论搞懂了，实践起来才能得心应手。[4]同时，我们还选用具有较强实践动手能力调试的教师，用其丰富的经验帮助学生以最快的速度找到实践中遇到的问题，激发学生学习的主动性和兴趣，有效利用计算机网络资源，帮助学生深入了解和掌握计算机网络的原理和技术，从而节省学生宝贵的实践时间。

3网络设备配置教学方案设计

通过合理的教学方案设计，让学生对网络设备配置有总体认识，在此基础上，对网络组网、互联与设备配置实训进行分析和研究，使学生更好地理解计算机网络组网整体技术。参照此要求，我们按组网步骤将教学方案设计分为以下几方面。

3.1组网基础教学方案设计

从目前较常用的星型网络拓扑着手设计教学方案，其涵盖的教学内容，如表1所示。

改变以往传统组网基础先从理论着手进行教学的顺序，转而按上述教学内容、学时、教学方式教学，让学生从对网络完全不了解过渡到对网络有一个浅层次的认识，使学生认识到组建一个小型计算机网络所需要的硬件设备有哪些，对最基本的传输介质――双绞线做到能按不同标准做出T568A、T568B线序，掌握网卡的安装，熟悉交换机、路由器的工作原理和简单的参数配置，基本认识清楚计算机网络基本运行环境，这对下一步具体开展网络设备配置部分内容的教学可以起到很好的先导作用。

3.2交换机教学方案设计

从交换机的应用角度着手，设计教学方案，方案分为基本配置与高级配置实验内容，具体教学内容如下表2所示。

按上述内容进行分设备单项教学，让学生实际操作实训，达到掌握交换网络中最常用的设备――交换机配置技术，从对交换机进行基本的配置着手，进一步划分VLAN，掌握生成树协议操作，实现交换机的端口聚合，安全认证等技术，对实现与路由器设备的互联作好配置技术准备。

3.3路由器教学方案设计

从路由器在网络建设中的重要地位着手设计教学方案，方案分为基本配置与高级配置实验内容，涵盖的教学内容如下表3所示。

在交换机设备配置学习的基础上，我们继续通过单项设备路由器配置内容的教学，让学生掌握网络建设中较重要的设备――路由器的配置技术，熟悉静态路由，动态路由RIP路由协议，OSPF路由协议，广域网协议的封装以及PPP PAP、PPP CHAP协议的验证等内容，为下一步交换机、路由器设备互联形成真正的计算机网络的学习做好全面的技术储备。

3.4综合实验教学方案设计

通过对单个网络设备进行逐一教学，在掌握了其基本配置内容后，结合运用交换机、路由器网络设备进行组建交换三级网和路由三级网，在此基础上进行来自实际典型应用案例的综合实验教学方案设计，[5]如组建某大型企业网络。首先，我们会告知学生该企业的相关情况――有多少人使用网络、组织机构如何、地理分布情况怎样、管理水平能力高低、网络应用服务多少等内容，让学生根据这些背景，运用所学知识，去规划、设计该企业的网络需求与网络拓扑结构。

通过上述实验，让学生做到综合运用网络实验室里的网络设备，了解搭建的实际网络环境，全面掌握整个网络组建的技术原理、实验功能、实验拓扑，清晰地掌握网络设备的实际配置，利用掌握的综合网络技能知识去优化这个网络，让整个网络性能发挥到极致，由此达到学用结合，解决实际问题的目的。

4结语

作为承担网络技术应用人才培养重担的普通高校，应该合理设计网络设备配置教学方案，在网络实验室的实验环境中与真正的网络建设接轨，让学生在实验室中亲自动手进行搭建、调试、配置网络，让学生更直观、全方位地了解各种网络设备的应用环境，加深对网络原理、协议、标准的认识，直至完成整个综合实验过程，形成清晰的网络工程项目设计思路。[6]我们教学改革的最终目的是使培养出来的学生具备分析问题、解决问题的能力，能充分利用理论知识由上至下地去分析网络规划、设计与调试，并提高自身网络技能和实战能力，成为符合网络一线需求的实用人才。

参考文献：

[1] 王建军．师范专科学校计算机网络技术专业的现状与应对措施[J]．教育与教学研究,2008,14(2):20-22.

[2] 胡亮,徐．计算机网络实践课程教学研究[J]．吉林大学学报:信息科学版,2005,22(S2):155-157.

[3] 崔贯勋．计算机网络实验教学方案探讨[J]．信息化技术与应用,2006,10(5):19-21.

[4] 徐炜．网络实验室:轻松上大课[J]．中国教育网络,2007,11(1):9-12.

[5] 陈康．高职高专计算机网络技术专业改革实践[J]．正德学院学报,2006,14(6):47-50.

[6] 福建星网锐捷．锐捷网络实验室解决方案综述:网络实践教学专家[EB/OL]．(2006-12-05)[2010-10-10]． . cn/plan/Solution_one.aspx?uniid=af03f8d9-ff2a-4a5c-826b-4bc5e0c876cd.

Teaching Programs of Network Device Configuration with Network Technology Courses in Universities

YANG Lin

篇（2）

我国很多城市和地区中，三网融合已经进入全面发展阶段。各地的广播电视部门都进行了业务和技术的网络化的双向改造，不仅变革了广播电视业务的传播形式与内容，而且改变了广大用户接受信息的习惯，提高了三网融合下的有线网络的综合性和竞争力。

一、三网融合下的有线双向网络技术的内涵与特点

“三网融合”的目的是让广大师用户享受到更优质的网络服务，包括共享很多语音、数据、图像等多媒体资料，所以三网融合下的网络要具备的功能有基础的数字电视、宽带上网、电话传输功能、互动点播、游戏平台，视频会议等功能。将来的业务发展的方向会是以下几点：

一是要逐步实现变单向电视节目为高清节目的网络化目标，以满足网络广播电视传播信息的需要。广大受众需要的信息数量和质量都在不断提升，特别是在现代社会，大众对图像信息的接受总量超出了文字信息的接受总量，所以对图像的分辨力要求比较高。

二是互动点播业务的发展势头迅猛，潜力十足。这是因为它的形式非常独特，人们可以主动地选择电视节目，兴趣大增，也符合每个人个性化的信息接收敏锐度。在网络的结构中，最关键的因素就是视频编码。

三是实现宽带数据业务的全方位覆盖。这是近几年新增的一项业务，因人们对互联网的依赖性与日俱增，所以各行业也都在利用网络实现预期目的，通过用户终端实现对双向互联网的改造。

四是可视电话功能的不断普及，这也体现了人们对信息传播质量的高要求。可视电话的工作要领就是将模拟声音讯号进行数字化处理，通过数据封包在网络上进行实时传递。

二、三网融合下的有线双向网络技术的接入方案对比

基于“三网融合”下的有线双向网络技术的接入方案的确定与两个因素有关一是光纤接入模式，二是网络接入方式，不同模式与不同接入方式组成的双向网络技术接入方案各有千秋，现实选用时还要具体问题具体分析。

现阶段的光纤接入模式主要包括FTTH模式、FTTB模式、FTTC模式，光纤接入技术则主要是PON技术。这三种模式的划分依据的是光纤向用户终端的渗透程度。FTTC模式将光纤延伸到小区，而FTTB模式将光纤延伸到了小区楼内的分支箱里，二者都通过电缆入户。FTTH模式的接入方式最先进，采用的是光纤传输点到点的结构，非常适合距离比较长的光纤传输，建设的成本较高。PON技术又可以根据与不同的数据链路层技术的结合分为APON/BPON型、EPON型、GPON型，后两种的应用更广、优势更多。

目前的接入方式主要有同轴电缆的CM技术和EOC技术，另外还有局域网的LAN技术。EOC技术的施工方式比较便捷。LAN结构双向网的传输过程是由光信号经过ONU转换成IP基带信号，然后再用以太网技术经过五类线入户。

以上的模式与技术的组合可以形成四种接入方案，每一种方案都具有优缺点，具体来说：

一是FTTB+EPON+LAN组网方案，结构设计原则是单向传输，集中接入，此种方案的优点是具有比较高的网络性能，组织可靠性比较强，还具有很好的可扩展性，非常适合于用作网络新建工程。但它也有自身的缺点，最突出的一点就是入户施工时采用五类线和同轴电缆双线方式（五类线采用大对数缆直接接入小区楼内的分配箱中），施工过程存在一定的难度，而且材料的造价比较高。

二是FTTB+EPON+EOC组网方案，整体的结构模式是将光线延伸到楼内、光机正向输出，凭借EPON技术进行数据信息的传输，入户采用同轴电缆的集中入户形式，当用户接入带宽可以完全满足网络终端带宽的需要，进而很好地为客户服务。

三是FTTC+EPON+EOC组网方案，在此方案中，双向信号的光纤仅仅到达小区光节点的接入处，在用户接入的时候不做丝毫的网络改变，这在一定程度上降低了项目建设的成本，但是在基带信号的传输过程中，容易造成很多的节点，组网方案容易受到干扰。

四是FTTC+CMTS+CM组网方案，主要是DOCSIS2.0技术为依托，具有稳定成熟的技术实力，而且采用的组网标准比较明确，具有统一性特征，且有良好的网络适应性，成本也比较低，但它也有一定的缺点，例如回传信号的时候伴有很大的噪声，影响网络信号的稳定性能。

三、总结

综上所述，基于三网融合下的有线双向网络技术的应用前景十分广阔，随着人们需求的不断增长，网络工程建设也任重而道远。有线运营商要根据各地区的实际情况精选出适合本地网络发展特点的网络技术，同时也要考虑所选方案的成本优势，以实现社会效益与经济效益的和谐统一。

参考文献：

篇（3）

【关键词】高铁通讯需求分析克服问题网络设置

高铁建设引发了相关技术的全面升级，其中关于网络覆盖的问题尤为复杂，高铁列车的先进技术带了的是信号消耗大，区域切换频率高，且重叠区域小、多普勒效应较强等等问题，因此网络覆盖的效果和效率问题就成服务网络技术的难题，下面就从分布式基站覆盖的网络技术方案入手进行相关问题的分析。

1 高铁网络覆盖所需要解决问题

1.1 高铁网络覆盖的硬性需求

虽然经济的发展人们对出行的需求量成几何数字增长，在不断提高铁路运行速度的同时，高铁技术得到了推广和应用，近些年我国的进行了大规模的铁路提速以及高铁建设，从原有的几千公里历程达到近万公里的历程，这个数字还在不断的增长。未来我国的高速铁路建设还将呈现出快速增长的模式，而随着旅客数量的增加，网络服务的质量要求也随之提高，各种通信业务需求不断被提出，而网络覆盖的问题就成为帮助高铁提高服务质量的重要技术措施，所以良好的网络覆盖不仅仅是对通信公司的要求，也是高铁发展的需求。

1.2 覆盖中技术难题

高铁车辆运行的速度快，且车体材料特殊，运行的路线长，地域跨度大，因此网络覆盖对于高铁而言是一个较为特殊的场景，其和以往的铁路以及区域覆盖技术都不尽相同。具体难题如下：

1.2.1 成本高但是收益不明显

高铁跨越的区域较大，因此要实现对其进行网络覆盖投资成本较大，但是相对的收益回收成果却不是十分明显，因此在网络覆盖方案选择中必须考虑性价比的因素。而现实因素是，高铁的运行车速较快，通常在300公里左右，且运行中可以实现双向对开，所以在一定的距离内要满足对开列车的覆盖就需要更多的基站来完成，如果要控制基站的数量就必须提高单个基站的设备覆盖能力，但是矛盾是列车运行的范围较大历程较长，所以多个基站在工作中实际分配的工作量并不多，所以基站数量较多是高铁覆盖网络中的一个重要特征。同时考虑到高铁自身的车体因素，运行因素，基站数量必须满足基础数量，所以相对而言就提高了覆盖成本，而且经济效益不高。所以在网络构建中通常会考虑利用现有资源进行共享和拓展，以此控制成本，同时尽量多的采用公共网络覆盖。

1.2.2 多普勒效应的影响

首先，高铁运行的速度高，因此相对的信号衰弱也就快，其变化与运行的速度有较大的关系，同时工作频率也会有所影响。如2.1GHz的频率而言，如果列车的运行速度为300公路，其衰减的速度将达到近千赫兹，而变化幅度也较大。如果运行速度超过一定的速度时，移动通信的快速功率将出现失效的情况，列车靠近或者远离基站的时候，还会受到各种干扰的影响，因此会降低有效的覆盖。其次。多普勒频移效果也是一个重要的影响因素，以WCDMA为例，接收机在检波时选择相干解调，解调的过程中载波和接收的信号相位相同，多普勒频移则会对接收机的调制解调性能产生影响，从而导致信号质量的下降。目前可以采用提高设计指标以及覆盖电平等技术措施加以克服，也可采用正对性的补偿措施来减弱多普勒频移的影响。第三，区域性改变频发引发切换和重选问题。高铁运行速度较快，而基站覆盖的区域有限，如果按照两公里的覆盖范围计算，其在几十秒内就出现了区域切换，从而导致区域重选。如果一个简单的电话为六十秒，期间就会出现至少两次的区域切换和重置。而切换和重置往往会导致信号的起伏改变，从而降低功率覆盖效果、当然利用扩大基站覆盖范围的方式可以降低切换频率，也可增加覆盖区域的重合面积等方式进行克服，以此提高覆盖区域切换的问题。

最后就是高铁车体对信号的消耗较大。因为高铁车辆是相对密闭的，所以其信号穿透的效果相对较差，测量显示车内和车外的信号差甚至可以高达1000倍，所以车辆运行中车内的信号就很难保证理想。当然现在的技术措施是扩大基站的覆盖范围，使其持续发出强信号对高铁车辆进行覆盖。也可采用车载直放站的方式来增加信号强度。通过车辆向内部的信号接收装置来提高信号覆盖，但是技术措施还不够成熟。

2 基于分布式基站覆盖方案的技术分析

分布式的基站覆盖方式从本质上看就是利用分布式基站网络，采用BBU和RRU技术来改善网络覆盖效果，利用多个RRU小区技术、自动频率校正等技术措施来实现对高铁移动网络的覆盖。是一种综合形式的技术方案。对高铁沿线而言实现的是一种专用网络覆盖。

基本原理就是多个不同位置的基站RRU设备配置一致的频率组。通过BBU控制实现多点同步发射与接收。理论逻辑是不同的RRU隶属于一个小区。即通过公用小区的技术来扩大单个基站的覆盖面积，减少在高速运行中的多区域切换问题，节约网络建设的成本，提高服务质量。具体看就是将多个物理小区进行逻辑划分。即多个映射可以完成对一个逻辑小区的覆盖，而多个RRU被一个BBU统一管理，构成一个可控的逻辑区域。而多个BBU小区则可以构成高铁沿线的多层次的覆盖区域。两个逻辑小区的边缘由BBU完成切换。保证两个相邻的BBU逻辑区域之间的信号连贯性。这样就可在高铁运行的过程中实现多个相对固定的网络切换。在技术上操作相对简单，且模式固定也可保证准确，最大限度的降低了覆盖边缘的切换不连贯的问题。也可降低乒乓效应的干扰。

当然在实际的运行和建设中仍需要结合实际解决一些关键问题，其中主要的问题包括以下几个：

2.1 载频增加问题

在网络配置中，其区域的大小多数是按照BSC作为划分的基础，各个地区和城市内的高铁覆盖都已经形成一个相对完善的模式，即独立BSC负责对区域进行管理。列车通过LAC的边界时，手机需要对多个指令进行频繁的交换。此时就会出现大量的关于手机位置的信息在系统中被保留和传递，而数量众多的信息会造成网络的堵塞，影响服务区域的正常业务。所以位置寻呼和通话容量之间存在一定的矛盾，所以在设置中应考虑区域构建时通信通道的余量。在载频配置的时候应尽量高于高铁沿线所配置的基本载频，从而保证在通信量增加时不会出现拥堵的情况。

2.2 隧道小区切换

隧道是高铁运行中不可避免的，而隧道内外的信号切换也是解决网络覆盖问题的重点。以往的技术措施在隧道进出时会出现信号覆盖的缺失。手机在切换时发生失败。所以在基站建设中应将隧道区域与隧道附近的区域进行整合使之可以在同一个服务区域内，以此改善隧道通话质量差的问题。

2.3 专网建设

高铁可以说是特殊的运输模式，因此在为高铁服务的过程中网络覆盖应有针对性，普通的网络服务已经不能满足对高铁用户的服务模式，所以应尽量利用专用网络进行服务，避免公共网络对高铁网络资源的占用和干扰，这样可以最大限度的提高对高铁用户的服务效率，也为后续的技术改进提供一个空间。

2.4 功分器的选择和应用

功分器在应用中解决的是切换以及塔下黑的情况，设计和选择的思路就是在覆盖的同时减少小区切换和重选的频率，扩大独立的小区覆盖的范围，即涵盖的距离。目前因为BBU的技术性能的限制，每个BBU在附带RRU的时候数量往往是固定的，为了减少区域切换的频率，引入功分器系统就显得十分必要的，即在RRU 的后端安装功分器将信号分别传送到覆盖两侧铁路的高增益天线。在 RRU 一定数量下，通过加入功分器可以增加高增益天线的数量来扩大小区的覆盖距离。

3 结束语

高铁是我国经济发展的必然产物，随着高铁产业的发展也好带动与之相关的技术产业升级，通讯技术升级与改进也是其中的重要一环。综合利用分布式基站的思路对网络覆盖进行技术提升是十分有效的技术措施。但是在建设过程中应注意细节问题的改进和适应性提高，这样才能让技术措施成为真正可行且有效的服务技术。

参考文献

[1]杨璇，周海峰.建设GSM专网解决高铁用户话音感知的探讨[J].电信工程技术与标准化，2014（04）：15-16.

[2]张磊，王锃.分布式基站BBU集中部署建设方案研究[J].通讯世界，2014（03）：25-26.

[3]李兴龙.高铁场景3G网络优化技术研究[J].互联网天地，2013（05）：31-32.

[4]李兴龙，史文祥，李巍.高铁WCDMA网络问题分析及优化技术研究[J].邮电设计技术，2013（01）：20-21.

[5]宋钢，张亮.大秦线分布式基站提升特殊区段GSM-R无线网络质量的研究[J].中国铁路，2013（11）：12-13.

[6]倪世昆.京广高铁GSM-R网络优化[J].郑铁科技，2013（03）：56-57.

[7]李中友.GSM高铁覆盖规划[J].科技信息，2013（05）：5-6.

篇（4）

0引言

当今世界，科学技术突飞猛进，国力竞争日趋激烈，各行各业都采用新技术、新设备，尤其IT产业，一线技术工人接触的都是最先进的设备，这就要求生产一线的骨干、技术人才不仅要有先进的专业知识，还要熟练地掌握操作技能；根据《关于全面提高高等职业教育教学质量的若干意见》（教高[2006]16号）文件精神，要切实提高学生的职业能力和职业素养，高技能人才的培养成为社会发展的推动力，高等职业院校必须改革人才培养的教学模式，不断地提高人才培养质量。

计算机网络技术发展迅速，应用广泛，计算机专业学生理应掌握计算机网络理论知识与技术。《计算机网络技术》理论知识抽象复杂，应用性、实践性又很强的一门专业课程，交换机、路由器、服务器配置管理等技术学生必须通过亲自动手实验才能掌握。本文将通过自身教学体验及“教学做”一体化教学要求，就《计算机网络技术》课程“教学做”一体化教学实施方案进行分析研究。

1课程整体设计方案

1.1教学条件的准备

《计算机网络技术》课程现有的实训教学资源不能满足“教学做”一体化教学，在充分利用现有实训资源基础上需要改善实训条件，“教学做”一体化教学实训室应配置投影仪、计算机、交换机、路由器、网络工具等教学硬件资源，充分运用一些演示软件、模拟软件、多媒体课件以及教学网站等组织教学；《计算机网络技术》课程“教学做”一体化教学老师需要较高实践操作能力，具备双师素质，应为专任教师创造条件进行实践操作锻炼，提高实践教学能力，也可聘用企业能工巧匠和专业技术人员担任相关项目的兼职教师。

1.2课程管理

《计算机网络技术》课程“教学做”一体化应采用组长负责制，并明确规范组长职责及成员间的协调关系。组长应全面负责该课程，既要抓好授课又要组织好课程的设计与开发，精心设置《计算机网络技术》课程的主要内容，制定教学计划、选择教材或编写教材、制定实训课程质量标准和编写实训指导书。该组其他成员在教学过程中检查学生完成任务的情况及存在的问题，及时解决问题，协助组长不断完善该课程设计开发。

1.3课程主要内容

《计算机网络技术》课程内容设计以提高学生职业能力和职业素质为目标，课程教学内容与职业技能鉴定相结合，理论知识与实践操作相融合，把课程设计为十三个项目如表1所示，通过这些项目学习训练培养学生的创新意识、动手能力和团队协作精神。

项目序号

项目内容

学时

地点

一

计算机网络基础知识／参观

“教、学、做”一体化教室

二

数据通信、OSI的物理层／标准网线制作

三

数据链路层／以太网组建

四

网络层／IP地址、子网掩码的配置及网络地址规划

五

传输层及应用层／常见命令使用

六

交换机的原理及配置

七

子网规划／VLAN子网的划分

八

路由器的原理及配置

九

Windows Server2003操作系统基本设置及用户管理

十

Windows Server2003环境下服务器配置及应用

十一

计算机网络管理命令及管理软件的使用

十二

网络安全知识、杀毒软件及防火墙的配置

篇（5）

中图分类号：TP3-05 文献标识码：A DoI: 10.3969/j.issn.1003-6970.2012.05.045

Personnel Training Program of the Major of vocational Computer Network Technology

随着我国信息化向广大地区以及各行各业全面发展，特别是随着计算机大批量进入企业、社区、机关、学校等各行各业，在这种形势下如何提高高职学生就业能力，为社会培养高素质技能型专门人才成为高职教育面临的重大问题。计算机网络技术专业是高职院校普遍开设的一个计算机类专业，它集通讯技术和计算机技术于一体，具有很强的专业性、技术互融性和应用普遍性。我们在教学实践过程中深切体会到采用传统的人才培养方案，培养学生所掌握的知识与当前人才市场需求的就业岗位产生较大的脱节，因此人才培养模式的改革已成我院乃至各高职院校急需解决的一个重大问题。现就我院高职计算机网络技术专业人才培养方案的制定提出几点看法。定我院计算机网络技术专业的培养目标[1]为培养德、智、体、美全面发展，具有与本专业相适应的文化知识、专业知识和良好的职业道德，能够适应二十一世纪社会经济发展和社会主义现代化建设需要，能够从事中小型企业网络组建与维护、网络系统的应用与管理工作、网络工程设计与施工、应用软件编制、网站制作与维护和计算机网络产品的营销及售后服务等工作的高素质技能型专门人才。

从职业岗位的需求出发，确定能力目标。通过对我院计算机网络技术专业的毕业生就业岗位的调查研究，将学生的就业方向确定为网络管理员、网页程序员、程序员、网络产品的销售、办公文员等，针对岗位要求的职业能力设置相应的课程如下：

熟悉路由器、交换机、防火墙等网络设备的配置与管理；熟悉数据库应用，掌握SQL查询语言；熟悉各种操作系统的应用和管理；熟悉电脑软硬件的安装、调试与维护；能够排除常见的网络故障和软硬件故障。

根据网络管理员岗位的职业能力设置相应的专业课程：计算机网络原理、数据库原理及应用、网络设备的配置与管理、网

具有一定的人文社会科学和自然科学基本理论知识，较扎实的应用文写作、计算机、外语等方面的基础和较强的应用能力；具有较强的计算机操作技能，使用办公自动化软件自如地完成各种文档的创建、修改和维护；能够运用网络获取信息的能力。

根据其他工作岗位的职业能力设置相应的基础课程：应用文写作、基础英语、办公自动化、大学生职业生涯规划。

逐步执行核心课程认证制度。在实行学历证书与职业资格证书“双证制”的基础上实行“多证制”，这样既能体现国家对高等职业人才素质和能力的测定标准，符合高等职业教育的性质和培养目标的要求，又有利于建立学校教学与社会需求接轨的良好运行机制。在各种条件的保证下，逐步实现每个专业模块至少一门以上的核心课程完成认证，整个专业课程体系中逐步实现核心课程认证制度。认证制度的实施能够更好的保证人才培养方案的实施效果不打折扣，也能更好的提高学生就业竞争力，促进学生就业[2]。

由于校内实验资源有限，需大力推行校企合作，实现资源共享。做到教师、学生走出去，将企业请进来，加强校企合作办学，将教学、科研与实际应用紧密结合起来。目前较好的校企合作形式有：

4.2.1 校企合作共建校外实训基地

学校根据专业设置和实践教学需求，本着“优势互补，互惠互利”的原则,在有发展前景又有合作意向的企业建立校外实训基地。这些基地可以帮助师生接触社会、了解企业，而且学校可以利用基地的条件培养学生职业素质、动手能力和创新精神，增加专业教师接触专业实践的机会，促进专业教师实践技能的提高；基地也可以从实习生中优先选拔优秀人才，满足企业日益增长的用工需求，达到“双赢”的效果[3][4][5]。

4.2.1 校企合作共建校办企业

选择现代化程度较高，规模大，市场信誉好，管理规范的网络科技公司合作，共建校内实训基地或生产车间。学生在校内以半工半读的方式参与企业生产，培养学生的基本技能和综合职业素质。

4.2.3 校企合作实现“工学交替”

企业因用工需求，向高等职业学院发出用人订单，并与高等职业学院密切合作，校企共同规划与实施的职业准备教育。其方式为学生在学校上理论课，在合作企业接受工作技能训练，即每学年至少有两个月在公司顶岗实习。

4.2.4 校企合作实现毕业生顶岗实习

根据企业需求岗位和岗位条件，择优推荐毕业生到企业顶岗实习待就业。把毕业实习安排到企业，把实训课堂“搬到”车间，实现学生与企业的零距离接触，为将来的就业铺设道路[6]。

程中，教师既要讲解必要的理论知识，又要突出专业技能的训练。通过“做”，一方面使学生学以致用，另一方面使学生用以促学。它把学与用很好地统一起来，书本知识与学生的感性认识结合起来，理论与实践联系起来，使教学效率和教学设备的利用率大大提高，使教学内容更具有针对性，教学过程更具有

实效性[7-8]。

人才培养依靠教学团队。目前高职院校的师资力量主要来源于各类高等院校，很少有教师直接从企业一线进入高职院校任教，这直接导致高职院校的教师缺乏与专业相关的技能，严重制约了教学质量和效果。要解决这个问题，高职院校教师必须在上岗前接受相关专业技能的专门培训，并采取各种方法

提高教师素质[9-10]。

篇（6）

1课程思政教学项目研究意义

计算机网络技术课程按照计算机类教学质量国家标准中属于计算机科学与技术和网络工程专业的核心专业课程，其内容在人才培养方案专业课程设置中承上启下，至关重要作用；且从就业而言，网络工程专业在计算机专业中就业需求量最大，因此学生学习兴趣浓厚、重视度较高。中华民族处于一个新的时代，为实现中华民族的腾飞梦，培养担当民族复兴大任的时代新人尤为重要。以在理论指导下，坚持知识传授与社会主义核心价值观指导相结合，运用能够培养大学生理想信念，价值取向，政治信念和社会责任的主体和内容，进一步将其融入社会主义核心价值观，全面提高大学生的推理辨别是非能力，使其成为德才兼备、全面发展的人才。在教学大纲编写中，以专业课程知识教学为载体，以德育为基础，充分挖掘专业知识中蕴含的道德元素，实现专业课程与思想政治教育的有机结合，渗透到整个教学过程中，帮助学生树立社会主义新时代的核心价值观。通过运用德育主体思想，提炼专业课程中蕴含的思想，使其转化成为具体而生动的社会主义核心价值观的有效教学载体。

通过隐性渗透、寓道德教育于各门专业课程之中，通过润物细无声、滴水穿石的方式，实现显性教育与隐性教育的有机结合。思想政治课的内容过于理论化，容易使学生在课堂上产生枯燥、乏味的情绪。因此，我们应该把计算机网络技术课程加入到学生思想道德教育的队伍中，共同努力挖掘课程的思想政治价值，真正实现全过程、全方位的教育。课程思想政治改革是立德树人的必然要求，也是全面育人的重要途径。作为一名信息工程学院计算机专业教师，要充分意识到改革的重要性，不断加强自己的道德修养，积极探索改革方式方法，及时总结经验与问题，努力走出一条具有专业特色的思想政治教育之路。

以“思想政治课”为目标，通过积极培育和践行社会主义核心价值观，运用哲学方法论，引导学生正确做人、做事，结合以下内容进行设计各教学主体和教育活动。核心价值观--富强：实现科学技术现代化，提高综合国力，圆中国梦。核心价值观--爱国：热爱祖国，热爱人民，展现时代精神；核心价值观--敬业：努力学习，刻苦钻研，有研究和创新精神；为此，本课程与思想政治教育有着相同的方法，最终目的是教学生如何做人和做事。因此，以本课程为载体，对学生进行思想政治教育是衔接密切，可以很好地发挥两者的协同教育作用。

2课程建设基础

我校信息工程学院十二五期间加强应用型人才培养，尤其是计算机网络工程系列技术人才的培养；十三五”期间将建立起较为完善的本科人才培养体系和结构合理、特色鲜明的学科专业体系，同样是以计算机网络系列技术作为主要课程体系。

《计算机网络原理》是信息工程学院本科和专科生的一门专业核课程，同时也是进一步研究TCP/IP体系结构与网络互联的前导课程。本课程围绕计算机网络的基本组成和体系结构，系统地讲述计算机网络系统及其体系结构的基本功能、TCP/IP分层、网络性能指标、以太网和高速以太网、网络路由、传输层协议、网络应用等，同时通过课堂讲授、课程实验相结合的方式，使学生系统地理解计算机网络的基本概念和工作原理，熟悉计算机网络和互联网组成，掌握计算机网络协议的基本分析与设计方法，为进一步学习后续课程，培养对计算机网络系统的认知、设计与应用开发能力奠定良好的基础。国内外许多大学已将计算机网络语言列入了本科教学计划，掌握计算机网络已经成为共识。《计算机网络技术》是计算机网络专业、计算机科学与技术专业、网络工程专业等相关专业的一门重要的网络技术的基础课程，也是网络工程本科教学体系的核心课程。

我校网络工程专业设定的是计算机网络系列课程教学，分别包括网络工程设计，网络操作系统，网络安全技术，路由交换技术，及其相关无线网络技术和数据存储课程等。

这两年，我校信息工程学院同华三和华为公司合作的课程内容，也是计算机网络数字通信系列课程和网络安全、无线网络等课程。其中2019年初的集中实训采用了宝德等公司方案，引进了该公司的讲师，对我校网络工程专业学生进行了构建中小企业网络设计，构建高性能园区网、无线网络技术等课程的集中实训。计算机网络系列课程教学在我校信息工程学院计算机科学与技术专业和网络工程专业规划的课程体系中占有重要地位。

目前，《计算机网络技术》课程开课时间分别是：15-16计科开在第4学期，15-17网工开在第2学期，17计科开在第4学期，18网工开在第2学期。由此可见，开课学期逐渐提前，该课程在专业课程建设中具有重要地位。

3课程建设工作目标和实施计划

诸多学科组成的专业课程是高校教学的重要载体。如何在专业课程中探索思想政治教育的有效要素，并在人才培养的全过程中广泛实施，是当前高校德育工作亟待解决的热点和难点问题。学校以教师教育为基础，立足陶瓷文化为特色，构建服务地方经济社会发展的多学科协调发展的学科专业体现。在专业教育体系中率先开展课程思政改革全过程，多模式，广覆盖，将中华优秀传统文化，社会主义核心价值观要求和做人做事原则融入专业教学。本次研究项目以提高计算机网络技术课教学效果为落脚点，有效整合教学资源，构建全新的计算机网络技术课教学体系，进行思政改革融入到教学实践中：

篇（7）

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2012）10-0184-01

计算机网络环境中的信息存储和管理都是由网络数据库来实现的，而随着计算机网络技术的广泛普及和快速发展，网络数据库的安全性已经成为整个计算机网络安全领域中的一个极为重要的问题。网络数据库是一种开放环境下的信息仓库，存储着大量非常重要的数据信息，一旦遭受各个方面的不可预测的安全攻击，就将给用户带来不可估量的损失，如此大的安全隐患不得不让我们纳入考虑范畴并加以防范。

1、网络数据库简介

所谓网络数据库是指在普通后台建立起来的数据库基础之上，利用浏览器等各种软件实现数据存储、查询等操作。其主要特征是能够作为储存大量数据信息的载体，同时可以保障数据的完整性和一致性。此外，浏览器/服务器（B/C）和客户机/服务器模式是当前网络数据库部署情况下最常见的两种形式，简单方便。

2、网络数据库安全威胁

由于Internet是一个高度自治、自由开放、复杂多样的网络环境，因此网络数据库不可避免地会存在数据丢失、数据库非法入侵、数据被篡改等安全性问题。此外，网络数据库具有多用户、高可靠性、频繁地更新和大文件存储等基本特性，同时还存放有大量重要的敏感数据资源信息。因而，在如此安全性存在极大威胁的背景下，如何采取措施保障网络数据库免受安全威胁变得非常重要。

网络上的非法用户通常都是直接通过网络系统来实现入侵网络数据库，以此来达到攻击网络数据库的目的，所以网络数据库的安全性基本决定于网络系统的安全情况。一般情况下，我们将网络数据库面临的安全威胁归纳为以下几个方面：（1）因用户操作不当而导致的网络数据库数据错误；（2）非法访问非权限范围内的数据信息：（3）攻击数据库的正常访问；（4）非法窃取或篡改连接中数据库内的数据资源信息。

3、网络数据库安全技术方案探讨

在开放的网络环境中，网络数据库是非常容易遭受到各种安全威胁的，所以我们必须要采取实际有效的技术方案来不断提高网络数据库自身的安全性，以保证数据的完整性和一致性。一般来说，网络数据库的安全问题可归结为保证数据库中各种对象存取权的合法性和数据库内容本身的安全两个方面，具体安全技术方案有如下几方面：

3.1 用户身份认证

由于计算机网络环境是一个面向多用户的开放式环境，所以对每一个网络数据库访问用户都必须要进行统一的身份认证，这也是防止网络数据库被用户非法访问的一个最有效的手段。因而，用户身份认证功能在当前网络数据库都是必须具备的功能，是通过采用系统登录、数据库连接和数据库对象使用三级机制来实现身份认证功能。其中，系统登录是验证访问用户输入的用户名和密码正确与否；而数据库连接是要求数据库管理系统验证用户身份；数据库对象是采用分配不同的权限机制来为不同使用用户设置相应的数据库对象权限来保障数据库内数据的安全性。

3.2 数据库加密

数据库加密是指通过对数据库的加密设置来保证数据库内数据的安全性。所谓加密是以某种特殊的算法改变原有的数据信息，使得未授权的用户即使获得了已加密的信息，但因不知解密的方法，则仍然无法了解获取的信息数据的原始内容。因此，数据库加密系统是加密和解密两个过程的统一，包括可辨数据信息转换成非可变信息、算法、利用密钥解密读取数据等三方面内容。

3.3 数据备份与恢复

数据备份与恢复是网络数据库保障数据完整性和一致性的一种有效机制，也是最常见的一种技术方案。在此机制下，一旦网络数据库系统发生故障，管理人员可以根据先前的数据备份文件，在最短的时间内实现恢复数据，进而让网络数据库回到故障发生之前的数据状态。目前，网络数据库中的数据备份机制有静态备份、动态备份和逻辑备份等几种技术方案，而数据恢复技术有磁盘镜像、备份文件，以及在线日志等几种方式。

3.4 审计追踪和攻击检测

审计追踪是指当用户在操作网络数据库时，可以自动跟踪用户做的所有操作，并将其操作的内容都记录在相应的审计日志文件中，以供管理员查阅并提供相关参考依据。根据审计日志文件，管理员可以非常清楚地重现网络数据库中出现的任何状况，一旦出现安全问题，管理员可以十分快速地找出存在非法存取数据的操作人员，进而追查相关人的责任。此外，通过利用审计追踪和攻击检测技术对发现网络数据库安全方面的弱点和漏洞也有十分明显的效果。

4、结语

综上所述，如何构建有效地网络数据库安全技术方案是保障计算机网络健康发展的核心内容，同时随着安全威胁因素日益增多且越来越复杂，网络数据库安全技术也要不断更新、改进。以应对不断出现的新情况、新问题，只有这样才能在最大程度上保障网络数据库的完整性和一致性。

参考文献

[1]陈黎.我国网络数据库发展现状[J].中国信息导报，2004.

[2]周世忠.浅谈网络数据库安全研究与应用[J].电脑知识与技术.2010（05）.

[3]汪新建，罗绯，李明.网络数据库的应用与安全认识[J].西南军医.2009（01）.

篇（8）

近年来，计算机网络技术不断发展，网络应用逐渐普及。网络已成为一个无处不在、无所不用的工具。越来越多的计算机用户足不出户则可访问到全球网络系统丰富的信息资源，经济、文化、军事和社会活动也强烈依赖于网络，一个网络化的社会已呈现在我们面前。

然而，随着网络应用的不断增多，网络安全问题也越来越突出，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通，研究计算机网络的安全与防范措施已迫在眉捷。本人结合实际经验，谈一谈网络安全与防范技术。

1 网络不安全因素

网络的安全因素主要有：

（1）网络资源的共享性。资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。

（2）网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。

（3）网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

（4）网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

（5）恶意攻击。就是人们常见的黑客攻击及网络病毒．是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。

2 网络安全防御方式

网络安全技术的主要代表是防火墙和入侵检测技术。下面简要介绍一下这两种技术。

2.1 防火墙技术

网络安全所说的防火墙是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙。

2.1.1 防火墙的主要功能

防火墙的主要功能包括：

（1）防火墙可以对流经它的网络通信进行扫描，从而过滤掉一些攻击，以免其在目标计算机上被执行。

（2）防火墙可以关闭不使用的端口，而且它还能禁止特定端口的输出信息。

（3）防火墙可以禁止来自特殊站点的访问，从而可以防止来自不明入侵者的所有通信，过滤掉不安全的服务和控制非法用户对网络的访问。

（4）防火墙可以控制网络内部人员对Internet上特殊站点的访问。

（5）防火墙提供了监视Internet安全和预警的方便端点。

2.1.2 防火墙的主要优点

防火墙的主要优点包括：

1）可作为网络安全策略的焦点

防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心，极大地加强了网络安全，并简化了网络管理。

2）可以有效记录网络活动

由于防火墙处于内网与外网之间，即所有传输的信息都会穿过防火墙。所以，防火墙很适合收集和记录关于系统和网络使用的多种信息，提供监视、管理与审计网络的使用和预警功能。

3）为解决IP地址危机提供了可行方案

由于Internet的日益发展及IP地址空间有限，使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。

2.1.3 防火墙的主要缺陷

由于互联网的开放性，防火墙也有一些弱点，使它不能完全保护网络不受攻击。防火墙的主要缺陷有：

（1）防火墙对绕过它的攻击行为无能为力。

（2）防火墙无法防范病毒，不能防止感染了病毒的软件或文件的传输，对于病毒只能安装反病毒软件。

（3）防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。

2.1.4 防火墙的分类

防火墙的实现从层次上大体可分为三类：包过滤防火墙，防火墙和复合型防火墙。

1）包过滤防火墙

包过滤防火墙是在IP层实现，它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址，目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。

包过滤路由器的最大优点是：对用户来说是透明的，即不需要用户名和密码来登陆。

包过滤路由器的弊端是明显的，由于它通常没有用户的使用记录，我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点，就是不能在用户级别上进行过滤，即不能识别用户与防止IP地址的盗用。如果攻击者将自己的主机设置为一个合法主机的IP地址，则很容易地通过包过滤防火墙。

2）防火墙

防火墙也叫应用层网关防火墙，包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络，对于这样的企业，应用防火墙是更好的选择。

服务是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程序或者特定服务，一般情况下可应用于特定的互联网服务，如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。

应用层网关包括应用服务器、回路级服务器、代管服务器、IP通道、网络地址转换器、隔离域名服务器和邮件技术等。

3）复合型防火墙

复合型防火墙是将数据包过滤和服务结合在一起使用，从而实现了网络安全性、性能和透明度的优势互补。

随着技术的发展，防火墙产品还在不断完善、发展。目前出现的新技术类型主要有以下几种：状态监视技术、安全操作系统、自适应技术、实时侵入检测系统等。混合使用数据包过滤技术、服务技术和一些新技术是未来防火墙的趋势。

2.1.5 防火墙的部署

防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查，防护功能。

（1）防火墙的位置一般是内网与外网的接合处，用来阻止来自外部网络的入侵。

（2）如果内部网络规模较大，并且设置虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙。

（3）通过公网连接的总部与各分支机构之间应该设置防火墙。

（4）主干交换机至服务器区域工作组交换机的骨干链路上。

（5）远程拨号服务器与骨干交换机或路由器之间。

总之，在网络拓扑上，防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是：只要有恶意侵入的可能，无论是内部网还是外部网的连接处都应安装防火墙。

2.2 入侵检测技术

入侵检测技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模式匹配等技术）、对攻击行为或异常行为进行响应、审计和跟踪等。

典型的IDS系统模型包括4个功能部件：

(1) 事件产生器，提供事件记录流的信息源。

(2) 事件分析器，这是发现入侵迹象的分析引擎。

(3) 响应单元，这是基于分析引擎的分析结果产生反应的响应部件

(4) 事件数据库，这是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

2.2.1入侵检测系统的分类

入侵检测系统根据数据来源不同，可分为基于网络的入侵检测系统和基于主机的入侵检测系统。

网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式，监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说，网络型入侵检测系统担负着保护整个网络的任务。

主机型入侵检测系统是以系统日志、应用程序日志等作为数据源，当然也可以通过其它手段（如检测系统调用）从所有的主机上收集信息进行分析。

入侵检测系统根据检测的方法不同可分为两大类：异常和误用。

异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。

误用入侵检测通过检查对照已有的攻击特征、定义攻击模式、比较用户的活动来了解入侵。例如，著名的Internet蠕虫事件是利用fingerd(FreeBSD)上的守护进程，允许用户远程读取文件系统，因而存在可以查看文件内容的漏洞和Sendmail(Linux上的守护进程，利用其漏洞可取得root权限)的漏洞进行攻击。对这种攻击可以使用这种检测方法。

2.2.2 目前入侵检测系统的缺陷

入侵检测系统作为网络安全防护的重要手段，目前的IDS还存在很多问题，有待于我们进一步完善。

1) 高误报率

误报率主要存在于两个方面：一方面是指正常请求误认为入侵行为；另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。

2) 缺乏主动防御功能

入侵检测技术作为一种被动且功能有限的安全防御技术，缺乏主动防御功能。因此，需要在一代IDS产品中加入主动防御功能，才能变被动为主动。

2.2.3 防火墙与入侵检测系统的相互联动

综合所述：防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理，如无通告拒绝、ICMP拒绝、转发通过（可转发至任何端口）、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。

当我们实现防火墙与入侵检测系统的相互联动后，IDS就不必为它所连接的链路转发业务流量。因此，IDS可以将大部分的系统资源用于对采集报文的分析，而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作，如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复（实时监控功能）等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。

综上所述，防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点，淡化各自的缺陷，使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中，动态技术与静态技术的联动将有很大的发展市场和空间。

3 结语

网络安全是一个很大的系统工程，除了防火墙和入侵检测系统之外，还包括反病毒技术和加密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息，除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本（或是可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。

篇（9）

中图分类号:TP393.08 文献标识码:A 文章编号:

0 序言

近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。同样,随着企业信息化的迅速发展,基于网络的应用越来越广泛,特别是企业内部专网系统信息化的发展日新月异—如:网络规模在不断扩大、信息的内容和信息量在不断增长,网络应用和规模的快速发展同时带来了更大程度的安全问题,这些安全威胁以不同的技术形式同步地在迅速更新, 并且以简单的传播方式泛滥,使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设,多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。

1.安全风险背景

随着计算机技术、通信技术和网络技术的发展,接入专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术已得到广泛使用,E-mail、Web2.0和终端PC的应用也日益普及,但同时病毒和黑客也日益猖獗, 系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。

2.网络安全方案

防火墙是最具策略性的网络安全基础结构组件,可以检测所有通信流。因此,防火墙是企业网络安全控制的中心,通过部署防火墙来强化网络的安全性,是实施安全策略的最有效位置。不过,传统的防火墙是依靠端口和通信协议来区分通信流内容,这样导致精心设计的应用程序和技术内行的用户可以轻松地绕过它们;例如,可以利用跳端口技术、使用 SSL、利用 80 端口秘密侵入或者使用非标准端口来绕过这些防火墙。

由此带来的可视化和控制丧失会使管理员处于不利地位,失去应用控制的结果会让企业暴露在商业风险之下,并使企业面临网络中断、违反规定、运营维护成本增加和可能丢失数据等风险。用于恢复可视化和控制的传统方法要求在防火墙的后面或通过采用插接件集成的组合方式,单独部署其他的“辅助防火墙”。上述两种方法由于存在通信流可视化受限、管理繁琐和多重延迟(将引发扫描进程)的不足,均无法解决可视化和控制问题。现在需要一种完全颠覆式的方法来恢复可视化和控制。而新一代防火墙也必须具备如下要素:

(1)识别应用程序而非端口:准确识别应用程序身份,检测所有端口,而且不论应用程序使用何种协议、SSL、加密技术或规避策略。应用程序的身份构成所有安全策略的基础。(识别七层或七层以上应用)

(2)识别用户,而不仅仅识别 IP 地址。利用企业目录中存储的信息来执行可视化、策略创建、报告和取证调查等操作。

(3)实时检查内容。帮助网络防御在应用程序通信流中嵌入的攻击行为和恶意软件,并且实现低延迟和高吞吐速度。

(4)简化策略管理。通过易用的图形化工具和策略编辑器(来恢复可视化和控制

(5)提供数千兆位或万兆位的数据吞吐量。在一个专门构建的平台上结合高性能硬件和软件来实现低延迟和数千兆位的数据吞吐量性能

2.1 产品与部署方式

本文就Palo Alto Networks 新一代安全防护网关部署方案进行探讨,该产品采用全新设计的软/硬件架构,可在不影响任何服务的前提下,以旁路模式、透明模式等接入现有网络架构中,协助网管人员进行环境状态分析,并将分析过程中各类信息进行整理后生成报表,从而进一步发现潜在安全风险,作为安全策略调整的判断依据。

2.2 解决方案功能

本方案产品突破了传统的防火墙和UTM的缺陷,从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。主要功能如下:

(1)应用程序、用户和内容的可视化

管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响,从而使管理员能够制定更多与业务相关的安全策略。

(2)应用程序命令中心:这是一项无需执行任何配置工作的标准功能,以图形方式显示有关当前网络活动(包括应用程序、URL 类别、威胁和数据)的大量信息,为管理员提供所需的数据,供其做出更为合理的安全策略决定。

(3)管理:管理员可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多种方式来控制防火墙。可基于角色的管理,将不同的管理职能委派给合适的个人。

(4)日志记录和报告:可完全自定义和安排的预定义报告提供有关网络上的应用程序、用户和威胁的详细视图。

2.3 解决方案特色

(1)以 APP-ID、 User-ID 及 Content-ID 三种独特的识别技术,以统一策略方式对使用者(群组)、应用程序及内容提供访问控制、安全管理及带宽控制解决方案,此创新的技术建构于 “单通道平行处理 (SP3)”先进的硬件+软件系统架构下,实现低延迟及高效率的特性,解决传统FW+IPS+UTM对应用处理效能不佳的现况。

(2)实现了对应用程序和内容的前所未有的可视化和控制(按用户而不仅仅是按 IP 地址),并且速度可以高达 10Gbps,精确地识别应用程序使用的端口、协议、规避策略或 SSL 加密算法,扫描内容来阻止威胁和防止数据泄露。

(3)对网络中传输的应用程序和用户进行深度识别并进行内容的分析,提供完整的可视度和控制能力。

(4)提供多样化NAT转址功能:传统NAT服务,仅能利用单一或少数外部IP地址,提供内部使用者做为IP地址转换之用,其瓶颈在于能做为NAT转换的外部IP地址数量过少,当内部有不当使用行为发生,致使该IP地址被全球ISP服务业者列为黑名单后,将造成内部网络用户无法存取因特网资源;本方案提供具有多对多特性的地址转换服务功能,让IT人员可以利用较多的外部IP地址做为地址转换,避免因少数外部IP被封锁而造成无法上网,再次提升网络服务质量。

(5)用户行为控制:不仅具备广泛应用程序识别能力,还将无线网络用户纳入集中的控制管理,可对无线网络使用情况,提供最为详细丰富的用户使用数据。

(6)流量地图功能:流量地图清楚呈现资料流向并能连结集中化的事件分析界面。

3.总结

新一代防火墙解决了网络应用的可视性问题,有效杜绝利用跳端口技术、使用SSL、80端口或非标准端口绕过传统防火墙攻击企业网络行为,从根本上解决传统防火墙集成多个安全系统,却无法真正有效协同工作的缺陷,大大提高数据实时转发效率,有效解决企业信息安全存在的问题。

参考文献:

篇（10）

中图分类号：G250.74 文献标识码：A 文章编号：1009-914X（2014）21-0226-01